5GとIoT、攻撃の高度化など来年警戒を

パロアルトネットワークスは13日「サイバー脅威の2019年振り返りと2020年の予測」と題した報告会を、東京都千代田区の同社で開催。同社Field CSO Japan（日本担当最高セキュリティ担当）の林薫氏が解説した。今年は送信元を詐称したメールによる攻撃や、クラウドにおける仮想マシンの脆弱性といった問題が起こったと指摘。2020年は5G開始によるIoT（モノのインターネット）の爆発的増加への対処が課題になると指摘した。

2019/12/13

もう一つのパラレルな宇宙 　

2003年3月20日、“衝撃と畏怖”爆撃作戦が、米国主導の多国籍軍によるイラク進攻の合図となった。3週間後、21日間の激しい戦闘の末に、米国、英国、オーストラリア、ポーランドから派遣された18万人の部隊がイラク軍を圧倒し、サダム・フセイン政権を倒した。

2019/12/13

最初のグレートマシン(2)　

全米―そして世界から、一点に収束された関心は災害対応であった。 フランスの新聞ル・モンドは、「今日9月12日は、われわれみんなアメリカ人だ」と伝えた。9/11の衝撃は、ほぼ誰にでもどこにでも影響を与えたと思われ、それは溢れ出る連帯と支援を引き出した。何百人、いや何千人もの人たちが連帯を示し、彼らができるどんな方法でも手助けできるようにとニューヨークに押し掛けてきた。

2019/11/29

第18回：目標復旧時間の意義と導き方

BCPでは、どのガイドラインにも「目標復旧時間」を考慮すべきであることが説かれている。ガイドラインに忠実なBCPを作ろうとすれば、「目標復旧時間を決めるにはどうするか？」といった議論は避けては通れない。

2019/11/21

第81回：11年間にわたって続けられているBCIのサプライチェーン・レジリエンス調査

これまで本連載では、BCMの専門家や実務者による非営利団体であるBCI（注1）によるサプライチェーン・レジリエンス調査の報告書を度々紹介してきたが（注2）、今年も例年通り、11月5〜6日にロンドンで開催された「BCI World Conference and Exhibition 2019」の1日目に今年の調査結果のお披露目があり、出席者に報告書が配布された（現在は後述の通りBCIのWebサイトからダウンロードできるようになっている）。そこで今回はそのBCI Supply Chain Resilience Reportの2019年版を紹介する。

2019/11/19

プライバシーとクッキー活用両立支援

GRCSは13日、英国のArm（アーム）社の日本法人であるトレジャーデータとの協業を発表した。ウェブを閲覧した際にパソコンやスマートフォンに情報が記憶されるCookie（クッキー）の情報について、プライバシーに配慮したうえでの利活用などを進めていく。

2019/11/19

最初のグレートマシン　ニューヨーク市がわれわれにやり方を示す

ブルックリン区の東フラットブッシュで生まれて大きくなったルドルフ・ウイリアム・ルイス・ジュリアーニは、民主党候補のデイビッド・ディンキンスを破って、過去30年間で初の共和党員のニューヨーク市長となった。市は当時、犯罪の急増と全国的な不況による失業でよろめいていた。ジュリアーニは、ニューヨーカーに酔っ払いや乞食に支払う「ストリート税」を根絶すると約束した。

2019/11/15

AIで対応早期化した端末セキュリティ

マカフィーは7日、企業向けのエンドポイント（端末）セキュリティ商品として「McAfee MVISION EDR（マカフィー エムビジョン イーディーアール）」の国内での本格展開を発表した。AI（人工知能）も活用し調査を自動化。クライシスレスポンスにかかる時間を短縮している。

2019/11/07

他社へ被害拡大も、早急な対策を

日本の中小企業に対するサイバーセキュリティの環境は、年々深刻さを増してきている。大企業に比べてセキュリティが薄く、一度攻撃に遭うとサプライチェーン全体を巻き込んだ事態にもなりかねない。この連載では警視庁サイバーセキュリティ対策本部から、主に都内中小企業を対象にしたサイバー対策を紹介していく。第1回は担当者に現状分析と中小企業の取り組むべき点について聞いた。

2019/11/01

皆このことをもっと得意にすべきではないか？

「これは警鐘である。連邦緊急事態管理庁だけに依存することはできない。皆が力を合わせて改善するためにはどうすべきであるか、われわれは腰を落ち着けて考えるべきである」　（FEMA長官 ブロック・ロングー2017年9月3日放映「フェイス・ザ・ネーション」より） もちろんそれらはたまたまここで起きたということではない。 それがどこで起きようとも、どんな大災害の後にも、子供や家族を苦しめることになった失敗の責任を関係者の間で押し付けあうという期間がある。

2019/11/01

本気でBCPに取り組む福祉施設

災害が起こるたびに報じられる福祉施設の被災。多くの要援助者が入所するだけに、災害対応は困難を極める。こうした中、熱海市にある福祉施設では、BCPの取り組みを強化し、災害だけでなく情報セキュリティーなどさまざまなリスクに対応できる組織づくりに取り組んでいる。 今年6月には、理事長の長谷川みほさんが、BCM（事業継続管理）教育の専門組織であるDRIジャパンの研修を受講し、国際的なBCM担当者としての資格を取得した。長谷川さんにDRI研修を取得するに至った経緯とBCMへの取り組みを聞いた。

2019/11/01

AIでサイバー攻撃検知し自動対処

英国系のサイバーセキュリティ企業であるダークトレース・ジャパンは、AI（人工知能）による企業ネットワークのセキュリティ商品「Enterprise Immune System（エンタープライズ イミューン システム）」の販売に注力していく。通常から逸脱した動きである攻撃をAIで検知し、自動対処。クラウドやSaaSにも対応する。

2019/10/31

第80回：企業活動にかかわる様々なリスクを経営層や監査役がどのように認識しているのか

米国に本拠地を置く内部監査人協会（The Institute of Internal Auditors：IIA）（注1）は、2019年10月に調査報告書『OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk』を公開した。これは2019年6月に、北米地域の企業の取締役、役員、および監査役を対象として実施された調査の結果をまとめたもので、次の11種類のリスクに対する、調査対象の方々の理解度合いや認識状況が分析されている。

2019/10/29

最終回：サイバー攻撃対応演習の実施

前回は現実的な演習を行うための準備と、そのシナリオ作成の仕方についてご紹介しました。今回は実際の演習実施とその評価についてです。

2019/10/28

こわれやすい人間関係

25年前の8月の暑い夜、アンドリューが南フロリダに大打撃を与えたとき以降の数十年間に大きな変化があったと主張する人が多い。それゆえオバマ大統領と彼が任命したFEMA長官であるクレイグ・フゲイトとのブロマンスに話を戻そう。フゲイトが言ったように、FEMAは国の緊急事態管理チームではなく、FEMAはチームの一員にすぎないというなら、チームはどのようにしているのだろうか？ニューヨーク・タイムズ流に言うならば“教訓は得られたのだろうか”？我々は過去の災害において世界が目にした欠点を直したのだろうか？

2019/10/18

第78回：BCM関係者は「破壊的テクノロジー」とどのように付き合っていくのか

読者の皆様は「破壊的イノベーション」（disruptive innovation）という言葉を聞いたことはおありだろうか？　これは1995年にハーバード・ビジネス・レビューに掲載された論文で最初に用いられた言葉で、新たなテクノロジーによって既存の秩序を破壊し、ビジネスや業界の構造を劇的に変化させるようなイノベーションを指す。「破壊的テクノロジー」（disruptive technology）もこれとほぼ同時に生まれた造語で、既存のテクノロジーに完全に取って代わって破壊的イノベーションをもたらすようなテクノロジーの総称である（注1）。 BCMの専門家や実務者による非営利団体であるBCI（注2）が2019年9月に発表

2019/10/08

実際に情報インシデントが起きた想定演習

実際の事件が起きた時の想定演習というと、皆さんの周りでは避難訓練、防災訓練などを思い浮かべるでしょう。「ビルのXX階で火災が発生しました。速やかに避難を開始してください」といったアナウンスと同時に避難行動を開始するものです。

2019/10/07

ビクトリー・ラップ

超活動的な2017年のハリケーンシーズンの特徴は6つの大型ハリケーンであり、それは破壊的な2005年シーズン以来の最多の数である。記録上最も高くついたハリケーンシーズンであり、損害額は2810憶ドル（約28兆1000億円）であり、ほとんど全てが米本土に上陸した3つの大型ハリケーン―・ハービー、イルマ、マリア―によるものである。

2019/10/04

制御システムセキュリティ、対策に遅れ

KPMGコンサルティングとデル テクノロジーズの日本での事業展開を行っているEMGジャパン RSAは3日、「サイバーセキュリティサーベイ2019」と題した企業のサイバーセキュリティに関する調査結果を発表した。製造業やインフラといった制御システムについては、所管部門の不在や対策方針の未策定など対策の遅れが目立った。

2019/10/03

集合住宅ネット整備で防犯事業拡大も

マンションやアパートなど集合住宅向けのインターネット回線整備などを手がけるギガプライズは26日、既存集合住宅向けの新たなネット回線整備サービス「SPES（エスピーイーズ）」を2020年1月末から提供開始すると発表した。同社ではネットワークカメラの提供も行っており、防犯などの事業拡大も狙う。

2019/09/26

第77回：情報セキュリティのパフォーマンスがどのようにビジネスに寄与するか

Forrester Consulting社（注1）はサイバーセキュリティに関する格付けを提供しているBitSight社からの委託を受けて行われた調査結果として、2019年9月に「Better Security And Business Outcomes With Security Performance Management」という調査報告書を発表した（本稿で「セキュリティ」とは情報セキュリティを指す）。

2019/09/24

米国災害システムの神話

ニューオリンズ市緊急事態準備部副部長のカール・メテイリーは40時間以上寝ていなかった。市の首席行政官のオフィスの9階にある薄暗い緊急事態対策本部（EOC）の混沌の中を歩くとき、自分の将来にうたた寝などというものがあるとはとても思えない。典型的な日には大きな会議室くらいのこのスペースで30名は快適に仕事をすることができたであろう。今は、立ち止まっているグループ、机に座っている人、静かにしている人、そうではない人、会話をしている人、電話をしている人、壁に掛けられた一列のテレビモニターをぼんやり見ている人で、少なくとも100名の人がいる。

2019/09/20

経営の屋台骨を揺るがす大規模損害に備えよ

第3回では、M&Aに関連したサイバーセキュリティーについて考察しましたが、今回（最終回）は、より多くの日系企業が共通して抱える「海外子会社のサイバーリスク」について、事故例の紹介とリスク転嫁策としてのサイバー保険の重要性について解説します。

2019/09/19

人・組織で行うサイバーセキュリティ対策

今回からは組織に関するサイバーセキュリティ対策について触れていきます。アプリケーション、プラットフォーム、クライアント端末およびネットワークなどのシステムだけで防御対策するには、やはり限界があり、サイバー攻撃のリスクをゼロにはできません。したがって、企業はマルウェア感染してしまった、DDoS攻撃でサーバーが落ちてしまったなどのサイバー攻撃によるインシデント発生後のアクションを事前に検討する必要があります。この対策のキーポイントは“人、組織”による初動対応です。

2019/09/17

ECサイトでのカード不正利用を防止

マクニカネットワークスは13日、EC加盟店など向けにクレジットカードの不正利用を防止するセキュリティ対策として、「Sift（シフト）」の提供を開始すると発表した。米シフト社と代理店契約を締結。機械学習により詐欺を試みる行動を検知する。

2019/09/13